Fortinetはこのほど、「New “Goldoon” Botnet Targeting D-Link Devices|FortiGuard Labs」において、9年前にD-Linkの無線ルータ「DIR-645」から発見された脆弱性「CVE-2015-2051」が先月から積極的に悪用されているとして、注意を呼び掛けた。この脆弱性を悪用されると、攻撃者にデバイスを乗っ取られる可能性がある。
ボットネット「Goldoon」が配布される
Fortinetは、今回の攻撃において新しいボットネット「Goldoon」を配布することが確認されたと説明。攻撃者は最初に脆弱性を悪用してドロッパースクリプトをリモートからダウンロードして実行する。このスクリプトはaarch64、arm、i686、m68k、mips64、mipsel、powerpc、s390x、sparc64、x86-64、sh4、riscv64、DEC Alpha、PA-RISCなど、多岐にわたるLinux環境向けのマルウェアローダーをダウンロード・実行する機能を持つ。実行を完了するとダウンロードしたマルウェアローダーとスクリプト自身を削除する。
マルウェアローダーはリモートからボットネット「Goldoon」を取得して実行する。Goldoonには次の機能があるという。
- 10種類の永続化
- 攻撃者のコマンド&コントロール(C2: Command and Control)サーバとの接続
- C2サーバからのコマンドを待機
- サービス運用妨害(DoS: Denial of Service)など27種の攻撃機能
対策
D-LinkはDIR-645の脆弱性およびこの脆弱性を突いたサイバー攻撃に関する情報を次のページに掲載している。
D-Link DIR-645はすべての地域においてサポート終了(EOL: End-of-Life)となっているため、速やかに運用を中止して新しい製品に交換することが推奨されている。なお、この脆弱性は「legacyfiles.us.dlink.com - /DIR-645/」から配布されている最新のファームウェア(1.05b01)にて修正されているが、これを利用しての延命は推奨されていない。